Estoy teniendo mucho feedback sobre
Rumorología Antivirus, con reacciones de todo tipo. La mayoría de la gente se centra en el hecho de la copia, aunque desde mi punto de vista lo más preocupante es la reproducción de errores y como impacta en los falsos positivos. Como al final un software legítimo puede convertirse en un malware a ojos de terceros al reproducirse el error, aquello de "una mentira repetida mil veces se convierte en una realidad".
Casualidades de la vida, ayer sufrimos en carnes propias un caso de falso positivo con nuestro VirusTotal Uploader, que fue detectado por Symantec. El falso positivo ha sido corregido en cuestión de horas, es lo bueno que tiene tener contactos en todos los laboratorios AV, pero lo curioso de nuevo es ver el historial de detecciones y como "concuerdan" algunas nomenclaturas de diferentes motores.
En el año 2007 VBA32 tuvo un falso positivo detectándolo como "AdWare.Win32.BetterInternet.amw" que corregiría más tarde, es la primera referencia que tenemos de que fuera detectado con una firma específica como "Adware BetterInternet".
Este año fue detectado por dos motores más, pero por heurísticas, así que en principio no parece guardar relación alguna con aquella detección del 2007. Primero fue Webwasher-Gateway detectándolo como "BlockReason.0" el 2009/01/14, y más tarde Panda durante algo más de un mes, del 2009/09/04 hasta 2009/10/15 como "Suspicios file".
En 2009/10/17 TheHacker lo detecta como "Adware/BetterInternet.aoh", el 2009/10/21 Symantec como "Adware.BetterInternet".
El caso de Symantec, al ser un antivirus más extendido, si nos ha impactado más, en el sentido de que hemos recibido comentarios de usuarios avisando del tema (afortunadamente los usuarios de VirusTotal Uploader saben diferenciar un falso positivo, así que nadie nos ha acusado de haberles instalado un adware). Tras avisar a técnicos de TheHacker y Symantec ha sido cuestión de horas, a la siguiente actualización estaba corregido. Gracias Melissa y Mike.
Aunque el falso positivo de TheHacker no nos impactaba especialmente he preferido que se corrigieran ambos, por si en algo tiene que ver el efecto "rumorología". Así que mi consejo a los desarrolladores de software es que avisen de cualquier falso positivo, aunque sea en un motor antivirus menos popular, para prevenir males mayores.
Pregunta al aire, por curiosidad, ¿alguien conoce algún caso de desarrollador de software que haya denunciado a un antivirus por el impacto en el negocio o imagen que le ha provocado un falso positivo? ¿hay posibilidad o legalmente tienen las espaldas cubiertas los antivirus?. A nosotros de vez en cuando nos llega alguna que otra amenaza del departamento legal de turno, y mira que sólo visualizamos los resultados :)